Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 22, views: 24.144 •
Submitter: Tormbo

Een ontwerpfout in de Skype-website die zeker twee maanden heeft bestaan, maakte het zeer eenvoudig om Skype-accounts te kapen. Daarvoor hoeft een aanvaller enkel het e-mailadres van een potentieel slachtoffer te weten. Inmiddels lijkt het lek te zijn opgelost.

SkypeHet probleem, dat twee maanden geleden uit de doeken werd gedaan op een Russisch forum, maar pas dinsdagmorgen Reddit en een aantal Engelstalige weblogs bereikte, is geen technische kwetsbaarheid in Skype, maar eerder een ontwerpfout. Inmiddels lijkt het probleem min of meer te zijn verholpen.

Om een account te kapen, was een aantal stappen noodzakelijk. Allereerst moest een nieuw Skype-account worden aangemaakt op het e-mailadres van het slachtoffer. Vreemd genoeg was het activeren van het account middels een e-mailbevestiging niet vereist. Daarna moest via de desktopapplicatie worden ingelogd op het nieuw aangemaakte Skype-account.

Door vervolgens de 'wachtwoord vergeten'-functie te gebruiken, waarbij het e-mailadres van het slachtoffer moest worden ingevuld, kon een aanvaller een nieuw wachtwoord instellen op het oude, originele account van het slachtoffer. Dat kwam doordat de password reset-token ook werd verzonden naar de applicatie waarin op het nieuw geregistreerde Skype-account was ingelogd. Het nieuw aangemaakte account was daarmee een hulpmiddel om het wachtwoord van het originele account opnieuw te kunnen instellen.

Skype heeft het probleem tijdelijk verholpen door de wachtwoord vergeten-functionaliteit uit te schakelen, maar uit het feit dat het beveiligingsprobleem twee maanden geleden al op het Russische forum werd besproken, kan worden afgeleid dat Skype-accounts minimaal twee maanden kwetsbaar zijn geweest. Skype, dat vorig jaar door Microsoft is overgenomen, heeft tegenover The Verge bevestigd uit voorzorg de wachtwoord vergeten-functionaliteit te hebben uitgeschakeld.

Reacties (22)

Ik had hier nog niks over gehoord maar zoals het lijkt is mijn account niet gekaapt. Ik vind het wel waardeloos dat er eerst niet op getest wordt voordat skype een update aanbied.
Met testen wordt nooit alles afgevangen. Wel kwalijk dat het al geruim twee maanden bekend is.
Ik ben benieuwd hoeveel accounts er zijn gehackt.
Niemand weet natuurlijk hoelang de fout bij Skype bekend was. Als na een paar dat het bekend werd die functionaliteit werd uitgeschakeld is het netjes. Is het inderdaad al twee weken bekend dan is het erg slordig.
Omdat iets ergens op een russisch forum staat wil nog niet zeggen dat skype er ook van op de hoogte was..
ik denk dat als het op een russich forum staat er heel snel meldingen komen van "helpsky m'n skype is kapoetski" :+

nee zonder grappen, als het op een forum gedeeld werd was het al een tijdje in omloop (kan redelijk wat geld opleveren) en zullen dus mensen ook al gekaapte accounts hebben gehad, in ieder geval vind ik skype sowieso al een obscuur programma omdat dataverkeer encrypted is en jij ook als node fungeert voor anderen, waardoor je nooit zeker weet of het legitieme data is of lokale malware data verbergt in de datastroom van skype.
(software als skypemorph bewijst in mijn ogen dat het mogelijk is)
Woah, pijnlijk. Dat zoiets op de tekentafel van een organisatie *zo* groot af kan komen doet je wel aan denken zetten.. :/ Hoe het mogelijk kan zijn dat in het achterliggende systeem een emailadres als unique identifier gezien kan worden voor het uitvoeren van een password reset, maar niet voor het aanmaken van een account, is voor mij in ieder geval bijna niet voor te stellen.

Dat digitaal (en trouwens in het echte leven net zo) niets veilig is, is de afgelopen jaren vrij pijnlijk duidelijk geworden - maar ergens mag je toch wel wat meer verwachten van een organisatie als Microsoft voor een applicatie waar je voor betaald? Ik vraag me af of bedrijven voor blunders als deze ook verantwoordelijk gehouden kan worden? En hoe kan het dat in een tijd als deze een dergelijke hack al TWEE (!) maanden bekend was? :'(
Dit is een hele amateuristische fout inderdaad. Waarom is het in hemels naam mogelijk 2 accounts te maken op 1 email adres? En dan ook nog niet eens verifiŽren of het email adres inderdaad tot jou toe behoort (activatie linkje). En dan nog de fout dat je op het ene account het wachtwoord kan resetten van het andere account.

Weet niet wie hier verantwoordelijk voor is, maar die persoon mag denk ik wel weer ff terug naar school :P
Mensen blijven nu eenmaal mensen en maken fouten. In mijn eigen job maak ik soms ook (domme) fouten, alleen hebben die niet 'n gelijkaardige weerslag. En dat geldt voor iedereen, zelfs de meest opgeleide specialist.
Dat geld voor een invidue wel zo, maar voor een grotere organisatie, waar code reviews worden gehouden, is dit wel slordig.
Op zich zijn twee accounts niet zo vreemd. Als je een e-mail adres BobAndAlice@xyz.com hebt gemaakt, kun je op alsnog twee skype accounts aanmaken. Een voor Bob en een voor Alice.
Een deel probleem is dat Fred de account van Alice kon resetten, zonder dat daarvoor op een e-mail link geklikt moest worden, maar daarmee kaap je nog geen account. Het echte probleem is dat het nieuwe password voor Alice ook op de skype applicatie van Fred werd getoond.
Het lag toen nog niet op de tekentafel van Microsoft. Microsoft heeft het pas veel later overgenomen. Het is altijd bang afwachten als je iemand anders code overneemt.
Wel ontzettend slecht dat je account niet moet worden geactiveerd via de mail.

En waarom kan je eigenlijk twee accounts op een emailadres?
Slechte zaak vind ik.... Heb Skype al enige tijd niet meer gebruikt/geinstalleerd... Maar eens kijken en mijn wachtwoord veranderen denk ik... Heb er geen zin in dat mijn account gekaapt is/wordt.

2 Maanden... Dat is toch absurd... Nog een reden voor mij om met MSN niet over te stappen naar Skype. Gebruikte het al niet veel, maar denk nu niet meer gebruiken.
Dus nu hebben ze het ook effectief onmogelijk gemaakt om wachtwoorden van reeds gekaapte accounts te resetten...?
En dit wordt dan de opvolger van MSN/Live Messenger? Ze moeten nog even aan de bak daar!
want jij denkt dat MSN 100% veilig is? dan verkijk je je daar toch wel op ben ik bang
Beetje jammer dit weer. Als eerste de vraag HUH twee account op een emailadres das vrij uniek :/. Maar dan ook nog eens zon'n slechte ontwerp fout der bij hoop iemand goed op de klote krijgt. Maar beetje jammer weer dat al TWEE maanden bekend is 8)7 . Inderdaad wat iedereen zegt en deze onveilige rotzooi moet de opvolger van MSN worden? Nou word weer eens groot feest!!
Hebben ze het probleem nu alleen opgelost uitgezet in die client?
Dus als je een oude client hebt, dat je dan alsnog je gang kan gaan?
Op de website kan je wel klikken op de link maar word je doorgelinkt naar de loginpagina. Dus denk wel dat ze het overal uitgezet hebbem
is niet zo handig... kan erg vervelend zijn. wel stom dat ze dat nu dus pas naar buiten brengen als het 2 maanden lang op rus forum staat.
Als ik het goed begrijp weet je het wel, als je account gehacked is, immers krijg je een email van Skype met een reset van je wachtwoord. Als je daar niet om hebt gevraagd, moet je je zorgen gaan maken.

Op dit item kan niet meer gereageerd worden.



Populair: Samsung Intel Smartphones Processors Sony Microsoft Games Apple Politiek en recht Smartwatches

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013